Kosten verlagen voor Microsoft Sentinel

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

De kosten voor Microsoft Sentinel zijn slechts een deel van de maandelijkse kosten in uw Azure-factuur. Hoewel in dit artikel wordt uitgelegd hoe u de kosten voor Microsoft Sentinel kunt verlagen, wordt u gefactureerd voor alle Azure-services en -resources die door uw Azure-abonnement worden gebruikt, inclusief partnerservices.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Prijscategorie instellen of wijzigen

Als u wilt optimaliseren voor de hoogste besparingen, controleert u uw opnamevolume om ervoor te zorgen dat u de toezeggingslaag hebt die het meest overeenkomt met uw opnamevolumepatronen. Overweeg om uw toezeggingslaag te verhogen of te verlagen om te worden afgestemd op gewijzigde gegevensvolumes.

U kunt uw toezeggingslaag op elk gewenst moment verhogen, waardoor de toezeggingsperiode van 31 dagen opnieuw wordt gestart. Als u echter wilt terugkeren naar betalen per gebruik of naar een lagere toezeggingslaag, moet u wachten totdat de toezeggingsperiode van 31 dagen is voltooid. Facturering voor toezeggingslagen is dagelijks.

Als u de huidige Prijscategorie van Microsoft Sentinel wilt zien, selecteert u Instellingen in het linkernavigatievenster van Microsoft Sentinel en selecteert u vervolgens het tabblad Prijzen . Uw huidige prijscategorie is gemarkeerd als Huidige laag.

Als u de toezegging van uw prijscategorie wilt wijzigen, selecteert u een van de andere lagen op de pagina met prijzen en selecteert u Vervolgens Toepassen. U moet inzender of eigenaar voor de Microsoft Sentinel-werkruimte hebben om de prijscategorie te wijzigen.

Zie Kosten voor Microsoft Sentinel beheren en bewaken voor meer informatie over het bewaken van uw kosten.

Voor werkruimten die nog steeds gebruikmaken van klassieke prijscategorieën, bevatten de Prijscategorieën van Microsoft Sentinel geen Log Analytics-kosten. Zie Vereenvoudigde prijscategorieën voor meer informatie.

Een abonnement vooraf kopen

Bespaar op uw Microsoft Sentinel-kosten wanneer u Microsoft Sentinel-doorvoereenheden (CA's) vooraf aanschaft. Gebruik de vooraf gekochte CA's op elk gewenst moment tijdens de aankooptermijn van één jaar.

Alle in aanmerking komende Microsoft Sentinel-kosten worden eerst afgetrokken van de vooraf gekochte CA's automatisch. U hoeft geen vooraf gekocht abonnement opnieuw te implementeren of toe te wijzen aan uw Microsoft Sentinel-werkruimten voor het CU-gebruik om de kortingen vooraf te kopen.

Zie Microsoft Sentinel-kosten optimaliseren met een abonnement vóór aankoop voor meer informatie.

Niet-beveiligingsgegevens in een andere werkruimte scheiden

Microsoft Sentinel analyseert alle gegevens die zijn opgenomen in Log Analytics-werkruimten met Microsoft Sentinel. Het is raadzaam om een afzonderlijke werkruimte te hebben voor niet-beveiligingsbewerkingsgegevens, om ervoor te zorgen dat er geen Microsoft Sentinel-kosten in rekening worden gebracht.

Bij het opsporen of onderzoeken van bedreigingen in Microsoft Sentinel moet u mogelijk toegang krijgen tot operationele gegevens die zijn opgeslagen in deze zelfstandige Azure Log Analytics-werkruimten. U kunt toegang krijgen tot deze gegevens met behulp van query's voor meerdere werkruimten in de logboekverkenningservaring en werkmappen. U kunt echter geen analyseregels en opsporingsquery's voor meerdere werkruimten gebruiken, tenzij Microsoft Sentinel is ingeschakeld voor alle werkruimten.

Goedkope logboektypen selecteren voor gegevens met een hoog volume, lage waarde

Hoewel standaardanalyselogboeken het meest geschikt zijn voor continue, realtime bedreigingsdetectie, zijn twee andere logboektypen( basislogboeken en hulplogboeken) geschikter voor ad-hocquery's en het zoeken naar uitgebreide logboeken met grote volumes, lage waarden die niet vaak nodig zijn of die niet op aanvraag worden geopend. Schakel basisopname van logboekgegevens in tegen een aanzienlijk lagere kosten of hulpgegevensopname (nu in preview) tegen een nog lagere kosten, voor in aanmerking komende gegevenstabellen. Zie Prijzen voor Microsoft Sentinel voor meer informatie.

• Logboekretentieplannen in Microsoft Sentinel
• Logboekbronnen die moeten worden gebruikt voor opname van hulplogboeken

Kosten van Log Analytics optimaliseren met toegewezen clusters

Als u ten minste 100 GB opneemt in uw Microsoft Sentinel-werkruimte of werkruimten in dezelfde regio, kunt u overwegen om over te stappen op een toegewezen Log Analytics-cluster om de kosten te verlagen. Een toegewezen Log Analytics-cluster commitmentlaag voegt gegevensvolume samen voor werkruimten die gezamenlijk 100 GB of meer opnemen. Zie Vereenvoudigde prijscategorie voor toegewezen clusters voor meer informatie.

U kunt meerdere Microsoft Sentinel-werkruimten toevoegen aan een toegewezen Log Analytics-cluster. Er zijn een aantal voordelen voor het gebruik van een toegewezen Log Analytics-cluster voor Microsoft Sentinel:

• Query's tussen werkruimten worden sneller uitgevoerd als alle werkruimten die betrokken zijn bij de query zich in het toegewezen cluster bevinden. Het is nog steeds het beste om zo weinig mogelijk werkruimten in uw omgeving te hebben en een toegewezen cluster behoudt nog steeds de limiet van 100 werkruimten voor opname in één query voor meerdere werkruimten.

• Alle werkruimten in het toegewezen cluster kunnen de Log Analytics-toezeggingslaag die is ingesteld op het cluster delen. Het niet verplichten van afzonderlijke Log Analytics-toezeggingslagen voor elke werkruimte kan kostenbesparingen en efficiëntie bieden. Door een toegewezen cluster in te schakelen, voert u een minimale Log Analytics-toezeggingslaag van 100 GB per dag in.

Hier volgen enkele andere overwegingen voor het verplaatsen naar een toegewezen cluster voor kostenoptimalisatie:

• Het maximum aantal clusters per regio en abonnement is twee.
• Alle werkruimten die zijn gekoppeld aan een cluster, moeten zich in dezelfde regio bevinden.
• Het maximum aantal werkruimten dat is gekoppeld aan een cluster is 1000.
• U kunt een gekoppelde werkruimte loskoppelen van uw cluster. Het aantal koppelingsbewerkingen voor een bepaalde werkruimte is beperkt tot twee in een periode van 30 dagen.
• U kunt een bestaande werkruimte niet verplaatsen naar een CMK-cluster (Managed Key) van de klant. U moet de werkruimte in het cluster maken.
• Het verplaatsen van een cluster naar een andere resourcegroep of een ander abonnement wordt momenteel niet ondersteund.
• Een werkruimtekoppeling naar een cluster mislukt als de werkruimte is gekoppeld aan een ander cluster.

Zie Toegewezen Log Analytics-clusters voor meer informatie over toegewezen clusters.

Kosten voor gegevensretentie verlagen met langetermijnretentie

Microsoft Sentinel bewaart gegevens standaard in interactieve vorm gedurende de eerste 90 dagen. Als u de gegevensretentieperiode in Log Analytics wilt aanpassen, selecteert u Gebruik en geschatte kosten in de linkernavigatiebalk, selecteert u Gegevensretentie en past u vervolgens de schuifregelaar aan.

Microsoft Sentinel-beveiligingsgegevens verliezen mogelijk enkele van de waarde ervan na een paar maanden. Soc-gebruikers (Security Operations Center) hoeven mogelijk niet zo vaak toegang te krijgen tot oudere gegevens als nieuwere gegevens, maar moeten mogelijk nog steeds toegang hebben tot de gegevens voor sporadische onderzoeken of controledoeleinden.

Om u te helpen de kosten voor gegevensretentie van Microsoft Sentinel te verminderen, biedt Azure Monitor nu langetermijnretentie. Gegevens die ouder zijn dan de interactieve bewaarstatus, kunnen nog steeds maximaal twaalf jaar worden bewaard, tegen veel lagere kosten en met beperkingen voor het gebruik ervan. Zie Gegevensretentie beheren in een Log Analytics-werkruimte voor meer informatie.

U kunt de kosten nog verder verlagen door tabellen te registreren die secundaire beveiligingsgegevens bevatten in het hulplogboekplan (nu in preview). Met dit plan kunt u logboeken met een hoog volume, lage waarde opslaan tegen een lage prijs, met een goedkopere interactieve bewaarperiode van 30 dagen aan het begin om samenvatting en eenvoudige query's mogelijk te maken. Zie Logboekretentieplannen in Microsoft Sentinel voor meer informatie over het hulplogboekplan en andere plannen. Terwijl het plan voor hulplogboeken in preview blijft, hebt u ook de mogelijkheid om deze tabellen in te schrijven in het basislogboekplan . Basislogboeken bieden vergelijkbare functionaliteit als hulplogboeken, maar met minder kostenbesparingen.

Regels voor gegevensverzameling gebruiken voor uw Windows-beveiliging-gebeurtenissen

Met de connector Windows-beveiliging gebeurtenissen kunt u beveiligingsgebeurtenissen streamen vanaf elke computer met Windows Server die is verbonden met uw Microsoft Sentinel-werkruimte, met inbegrip van fysieke, virtuele of on-premises servers of in een cloud. Deze connector bevat ondersteuning voor de Azure Monitor-agent, die gebruikmaakt van regels voor het verzamelen van gegevens om de gegevens te definiëren die van elke agent moeten worden verzameld.

Met regels voor gegevensverzameling kunt u verzamelingsinstellingen op schaal beheren, terwijl u nog steeds unieke, bereikconfiguraties toestaat voor subsets van machines. Zie Gegevensverzameling configureren voor de Azure Monitor-agent voor meer informatie.

Naast de vooraf gedefinieerde sets gebeurtenissen die u kunt selecteren om op te nemen, zoals alle gebeurtenissen, minimaal of algemeen, kunt u aangepaste filters maken en specifieke gebeurtenissen selecteren die moeten worden opgenomen. De Azure Monitor-agent gebruikt deze regels om de gegevens bij de bron te filteren en neem vervolgens alleen de gebeurtenissen op die u hebt geselecteerd, terwijl alles achterblijft. Door specifieke gebeurtenissen te selecteren die u wilt opnemen, kunt u uw kosten optimaliseren en meer besparen.

Volgende stappen

• Meer informatie over het optimaliseren van uw investering in de cloud met Microsoft Cost Management.
• Meer informatie over het beheren van kosten met kostenanalyse.
• Meer informatie over het voorkomen van onverwachte kosten.
• Volg de begeleide training voor Cost Management .
• Zie de best practices van Azure Monitor voor kostenbeheer voor meer tips over het verminderen van het log analytics-gegevensvolume.